CISO & DPO news #25 (17-23 мая 2024 года)
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
👍9❤1
В какой из указанных ситуаций правовым основанием обработки персональных данных будет являться договор?
Anonymous Quiz
5%
Направление маркетинговых рассылок при заключении договора с клиентом
10%
Обработка биометрических персональных данных с целью идентификации субъекта при заключении договора
85%
Обработка персональных данных (ФИО, номер телефона, паспортные данные) при заключении договора
🤔6👍1
Согласно п.5 ч.1 ст.6 152-ФЗ обработка персональных данных (ПДн) допускается в случае, если она необходима для исполнения или для заключения договора по инициативе субъекта ПДн и если субъект является:
• стороной договора (ст.420 ГК РФ)
• выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ)
• поручителем (ст.361 ГК РФ)
В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор.
При обработке ПДн на основании договора следует иметь ввиду следующие правила:
• должна быть обеспечена связь цели обработки ПДн с предметом договора
• обработка ПДн должна быть необходима для исполнения обязательств сторон договора
• обработка ПДн должна быть прекращена одновременно с расторжением договора
• договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних
• договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн
#Privacy
• стороной договора (ст.420 ГК РФ)
• выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ)
• поручителем (ст.361 ГК РФ)
В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор.
При обработке ПДн на основании договора следует иметь ввиду следующие правила:
• должна быть обеспечена связь цели обработки ПДн с предметом договора
• обработка ПДн должна быть необходима для исполнения обязательств сторон договора
• обработка ПДн должна быть прекращена одновременно с расторжением договора
• договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних
• договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн
#Privacy
👍9
Ранее мы рассказывали про основные методы социальной инженерии. Сегодня поделимся реальными случаями применения мошенниками психологических манипуляций.
Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту.
В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке.
В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя.
Чтобы иметь возможность защититься от подобных манипуляций рекомендуем:
· проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее;
· следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.
#ИБ
#ПолезноЗнать
Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту.
В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке.
В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя.
Чтобы иметь возможность защититься от подобных манипуляций рекомендуем:
· проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее;
· следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.
#ИБ
#ПолезноЗнать
👍8👏2
Опубликовано 2 мая 2024 г.:
Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
Опубликовано 15 мая 2024 г.:
Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
Вступило в силу 28 мая 2024 г.:
Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Вступит в силу 1 июня 2024 г.:
Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
#ДеЮре
#ИБ
Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
Опубликовано 15 мая 2024 г.:
Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
Вступило в силу 28 мая 2024 г.:
Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Вступит в силу 1 июня 2024 г.:
Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
#ДеЮре
#ИБ
👍10❤2
Вопрос: Требуется ли включать в перечень информационных систем персональных данных (ИСПДн) информационные системы (ИС) которые используются компанией, но которые ей не принадлежат?
Ответ: Нет, не требуется.
В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.
Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.
При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).
#Privacy
#KeptОтвечает
Ответ: Нет, не требуется.
В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.
Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.
При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).
#Privacy
#KeptОтвечает
👍11
CISO & DPO news #26 (24-30 мая 2024 года)
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
👍9
Допускает ли GDPR использование согласия субъекта ПДн в качестве правового основания для обработки ПДн работника?
Anonymous Quiz
17%
Нет, не допускает
8%
Да, допускает использование всегда
75%
Да, допускает при условии, что обеспечивается принцип свободы дачи согласия
🤔5👍1
В соответствии с требованиями ст. 7 GDPR, согласие на обработку персональных данных (ПДн) должно быть дано на добровольной основе. Также согласие на обработку ПДн может быть отозвано субъектом в любое время, что может повлечь прекращение обработки ПДн.
Согласно п. 3.1.1 разъяснений EDPB от 2020 года в отношении согласия на обработку ПДн, работодатель может использовать согласие на обработку ПДн в качестве правового основания для обработки ПДн работника в тех случаях, когда:
• может быть обеспечена добровольность дачи согласия;
• отказ от дачи согласия не окажет негативного влияния на работника.
Примером такой ситуации может служить сбор ПДн работника для предоставления услуги ДМС или для организации экскурсионной поездки.
EDPB подчеркивает зависимость работника от работодателя, поэтому работник не во всех ситуациях может дать согласие добровольно из опасений быть уволенным и / или из страха получить ухудшение условий труда.
Регулятор рекомендует использовать в качестве правовых оснований требование законодательства или договор с субъектом.
#Privacy
Согласно п. 3.1.1 разъяснений EDPB от 2020 года в отношении согласия на обработку ПДн, работодатель может использовать согласие на обработку ПДн в качестве правового основания для обработки ПДн работника в тех случаях, когда:
• может быть обеспечена добровольность дачи согласия;
• отказ от дачи согласия не окажет негативного влияния на работника.
Примером такой ситуации может служить сбор ПДн работника для предоставления услуги ДМС или для организации экскурсионной поездки.
EDPB подчеркивает зависимость работника от работодателя, поэтому работник не во всех ситуациях может дать согласие добровольно из опасений быть уволенным и / или из страха получить ухудшение условий труда.
Регулятор рекомендует использовать в качестве правовых оснований требование законодательства или договор с субъектом.
#Privacy
👍8
Международный стандарт ISO / IEC 27701:2019 (далее – Стандарт) определяет требования к системе управления персональными данными (ПДн) в компании и является дополнением к ISO / IEC 27001 (система управления информационной безопасностью).
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
👍12🔥3
Вопрос:
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
👍17